Andrei Опубликовано 16 марта, 2021 · Жалоба 2 часа назад, vurd сказал: Т.е. вы всегда в префикс листе пишете permit, а меняете поведение принять\отбросить в директивах роутмапа. Так проще, потому что ты не думаешь каждый раз во время написания префикс листа. У меня ж так и есть: ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32 ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32 ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32 ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32 ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32 ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32 ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32 ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32 и потом route-map TT-in deny 110 match ip address prefix-list bogons 2 часа назад, vurd сказал: не помню за неявный deny в конце, работает ли он в квагге? Вот тоже не знаю. 1 час назад, disappointed сказал: @Andrei Цитата ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24 ip prefix-list reduced seq 20 deny any Выделенное тоже убрать, оно не нужно будет. Почему? 2 часа назад, disappointed сказал: Цитата ! route-map TT-in deny 115 match ip address prefix-list reduced ! permit нужно сделать Почему? Я ж не хочу принимать перечисленное в префикс-лист reduced. Почему тут permit-то надо? 43 минуты назад, disappointed сказал: У вас чёткий набор коммюнити на AS47286. Первый раз вижу такое у не магистрала. Честно скажу - мне это ни о чем не говорит. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 марта, 2021 · Жалоба 51 минуту назад, disappointed сказал: @vurd Оффтоп. У вас чёткий набор коммюнити на AS47286. Первый раз вижу такое у не магистрала. Да, прихожу на работу, работаю :) Они даже используются, так-то не зря. 7 минут назад, Andrei сказал: Почему? Я ж не хочу принимать перечисленное в префикс-лист reduced. Почему тут permit-то надо? Потому что если политика в deny, то префикс лист надо делать обратным 0.0.0.0/0 ge 25 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 8 минут назад, vurd сказал: Потому что если политика в deny, то префикс лист надо делать обратным 0.0.0.0/0 ge 25 Это вы про префикс-лист для FV? Остальное-то нормально? Получается, что надо вот так: ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25 Это убрать: ip prefix-list reduced seq 20 deny any И тогда роутмап остается прежним route-map TT-in deny 115 match ip address prefix-list reduced Все так? Еще что-то по конфигу есть кривое? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 марта, 2021 · Жалоба 1 минуту назад, Andrei сказал: Все так? Еще что-то по конфигу есть кривое? Вам совет или консультацию?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 1 минуту назад, Andrei сказал: Все так? Еще что-то по конфигу есть кривое? В роут-мапах политика по умолчанию запрет, поэтому последний route-map TT-in deny 115 можно убирать в обоих. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 1 минуту назад, vurd сказал: Вам совет или консультацию?) Вопрос терминологии :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 19 минут назад, Andrei сказал: 1 час назад, disappointed сказал: Цитата ip prefix-list reduced seq 10 permit 0.0.0.0/0 le 24 ip prefix-list reduced seq 20 deny any Выделенное тоже убрать, оно не нужно будет. Почему? Потому что для роутмапа с match ip address prefix-list префикс лист это список используется только с пермит - это список поиска совпадений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 2 минуты назад, disappointed сказал: В роут-мапах политика по умолчанию запрет, поэтому последний route-map TT-in deny 115 можно убирать в обоих. Не понял. Это ж полезный роутмап: route-map TT-in deny 115 match ip address prefix-list reduced Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 3 минуты назад, Andrei сказал: Не понял. Это ж полезный роутмап: route-map TT-in deny 115 match ip address prefix-list reduced Не нужно последним рулсом deny, он в роут-мапе по умолчанию deny. Я перепутал, Я про route-map........ 200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 1 минуту назад, disappointed сказал: Не нужно последним рулсом deny, он в роут-мапе по умолчанию deny. Так он не последний в TT-in. Потом еще route-map TT-in deny 120 match ip address prefix-list our-CIDR-blocks ! route-map TT-in permit 200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба Откуда route-map TT-in permit 200. Убрать его вообще. После того как пропустили то что нужно, остальное отбросится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 2 минуты назад, disappointed сказал: Откуда route-map TT-in permit 200. Убрать его вообще. После того как пропустили то что нужно, остальное отбросится. Хм... До этого правила в роутмап-е TT-in были с deny, т.е. запрещали то, что не хотим принимать. Последнее правило - разрешить принять остальное. Не логично? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 3 минуты назад, Andrei сказал: Хм... До этого правила в роутмап-е TT-in были с deny, т.е. запрещали то, что не хотим принимать. Последнее правило - разрешить принять остальное. Не логично? Выше уже несколько раз написали, нужно сделать роут-мапы вида deny bogons deny ourCIDR permit то что короче /24 permit по вкусу permit по вкусу (последний deny не нужен, он будет по умолчанию) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 5 минут назад, disappointed сказал: Выше уже несколько раз написали, нужно сделать роут-мапы вида permit permit permit (последний deny не нужен, он будет по умолчанию) Неа. Писали прямо противоположное. Процитирую vurd - https://forum.nag.ru/index.php?/topic/125349-bgp-quagga-strannosti/&do=findComment&comment=1634208 Цитата Т.е. вы всегда в префикс листе пишете permit, а меняете поведение принять\отбросить в директивах роутмапа. Так проще, потому что ты не думаешь каждый раз во время написания префикс листа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба Так. Ещё раз. В префикс-листах для матчинга всегда ставится permit он ни на что не влияет. Это список для поиска совпадений. В роут-мапах ставится само действие, при нахождении совпадения. И да, можно отбросить всё что длинее /24 а можно пропустить всё что короче. Надо определится с подходом, каких правил будет больше, запрещающих или разрешающих. Тут писали про оба варианта и запутали этим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 1 минуту назад, disappointed сказал: В префикс-листах для матчинга всегда ставится permit он ни на что не влияет. Это просто список для поиска совпадений. В роут-мапах ставится само действие, при нахождении совпадения. Согласен полностью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба Вообщем - ставить статический 0.0.0.0/0 в одну ногу, чтобы при косяках не падало ничего, и экспериментировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 6 минут назад, disappointed сказал: И да, можно отбросить всё что длинее /24 а можно пропустить всё что короче. Надо определится с подходом ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25 route-map TT-in deny 115 match ip address prefix-list reduced Отматчили сетки меньше /24 и запретили их прием. Все так? 7 минут назад, disappointed сказал: Тут писали про оба варианта и запутали этим. Я и чуствую, что где-то тут в теме каша. И она из темы просачивается в мою голову :) Поэтому логику выбрал как у vurd (да и у вас она такая же): в префикс-листах только permit (чтобы отматчить что-то), а в роутмапе принимаем или запрещает отматченное. 1 минуту назад, disappointed сказал: ставить статический 0.0.0.0/0 в одну ногу в /etc/network/interfaces прописал auto vlan150 iface vlan150 inet static vlan_raw_device eth2 address 89.237.47.74 netmask 255.255.255.252 network 89.237.47.72 broadcast 89.237.47.75 gateway 89.237.47.73 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 1 минуту назад, Andrei сказал: ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25 route-map TT-in deny 115 match ip address prefix-list reduced Отматчили сетки меньше /24 и запретили их прием. Все так? Да. Отбросит всё длинее /24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 4 минуты назад, disappointed сказал: Отбросит всё длинее /24 Уточню терминологию на счет длиннее/короче. С житейской точки зрения чем меньше в сетке адресов, тем она короче: /25 - 128 адресов, /24 - 256 адресов В связистской терминологии с точностью до наоборот? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 1 минуту назад, Andrei сказал: Уточню терминологию на счет длиннее/короче. С житейской точки зрения чем меньше в сетке адресов, тем она короче. В связистской терминологии с точностью до наоборот? Длина маски, она в еденичках -битах. Самая длинная в ipv4 32 бита. Самая короткая 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 6 минут назад, disappointed сказал: Отбросит всё длинее /24 Т.е. обросит /25, /26 ... /32 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба Только что, Andrei сказал: Т.е. обросит /25, /26 ... /32 ? Да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 марта, 2021 · Жалоба 2 часа назад, disappointed сказал: Откуда route-map TT-in permit 200. Убрать его вообще. После того как пропустили то что нужно, остальное отбросится. Перечитал еще раз топик. ip prefix-list bogons seq 15 permit 0.0.0.0/8 le 32 ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32 ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32 ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32 ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32 ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32 ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32 ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32 ip prefix-list default seq 10 permit 0.0.0.0/0 ip prefix-list fullview seq 5 permit any ip prefix-list our-CIDR-blocks seq 5 permit 188.130.171.0/24 le 32 ip prefix-list reduced seq 10 permit 0.0.0.0/0 ge 25 ip prefix-list upstream-out seq 10 permit 188.130.171.0/24 ip as-path access-list PRIV permit _6451[2-9]_ ip as-path access-list PRIV permit _645[2-9][0-9]_ ip as-path access-list PRIV permit _64[6-9][0-9][0-9]_ ip as-path access-list PRIV permit _65[0-9][0-9][0-9]_ ! route-map TT-in deny 100 match as-path PRIV ! route-map TT-in deny 110 match ip address prefix-list bogons ! route-map TT-in deny 115 match ip address prefix-list reduced ! route-map TT-in deny 120 match ip address prefix-list our-CIDR-blocks ! route-map TT-in permit 200 ! route-map TT-out permit 100 match ip address prefix-list upstream-out ! route-map TT-out deny 200 Получается, что "route-map TT-in permit 200" нужен, т.к. иначе неявно последним будет "deny все остальное". А по логике-то надо как раз все остальное разрешить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 марта, 2021 · Жалоба 48 минут назад, Andrei сказал: Получается, что "route-map TT-in permit 200" нужен, т.к. иначе неявно последним будет "deny все остальное". А по логике-то надо как раз все остальное разрешить. Да, если по принципу пропустить всё, что не запрещено явно то так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...